[DEF CON 22 レポート] ソーシャルエンジニアリングの第一人者 Chris Hadnagy氏インタビュー (2) ソーシャルエンジニアリングと日本文化

今年もラスベガスで開催された世界最大級のハッキングカンファレンス DEF CON。このイベントには様々な企画が目白押しだが、中でも最大級の目玉とされているハッキングイベント、CTF（Capture The Flag）についてはご存じの方も多いと思われる。

しかし今年で 5 回目の開催となった SECTF （ソーシャルエンジニアリング CTF）は、日本人にとっては馴染みが薄いだろう。SECTF とは、その名のとおり「挑戦者がソーシャルエンジニアリングのスキルを争う競技」だ。技術を駆使するのではなく、人間の心理を利用するソーシャルエンジニアリングの能力を、果たしてどのように競うのか？

SECTFとChristopher Hadnagy 氏の本誌取材をバックアップしてくれた株式会社アズジェントは2013年、日本にChris 氏を招いてセミナーを開催するなど、日本国内でのソーシャルエンジニアリングの体系的理解と対策方法を模索するための試みを積極的に行っている。そこで、日本人にソーシャルエンジニアリングの講演を行った経験のあるChris氏に、日米の文化の違いなどについて話を聞いた。

●日本とソーシャルエンジニアリング学習

──国外のトレーニングで、国の違いによって生じた困難はありましたか？

「たとえば英国。多くの英国人にとって、いきなり外に出て知らない人と話すのは難しいから、リラックスさせて外に出すのは少し大変だった。
僕の米国のクラスに参加する人々は国際的なんだ。日本、シンガポール、ドイツ、ポルトガル、スペイン……基本的に世界中の人々だけど、彼らは米国に住んでいるから、それは英国のトレーニングとは少し違った。
それでも、いろいろな国から来た人がトレーニングを受けているのは事実だよ、中国、タイ、ロシア……」

──海外の人々にも、あなたの理論は通じるのですね。

「通じる。唯一、変えるのはボディランゲージの部分だね。それは国によって大きく異なるから。それでも基本的な理論は変わらない。どのようにコミュニケーションを取るのか、その国の文化の違いを理解している限りは、どの国でも通用するね」

──実は、初めて SECTF の話を聞いたとき、「日本で開催するのは不可能だろう、二国の文化の差は非常に大きい」と感じました。しかし先ほどあなたは「（米国でも）最初はみんな怖がっていた」とおっしゃいました。その問題に、どう対処してきたのですか？

「たとえば初めての年、攻撃された企業はみんな怖がっていた。だから僕は、『もしも僕らのデータを見たいようであれば、すべて見せます』とオファーして、無条件で見せた。僕らがフレンドリーだということ、辱めるためにやっているのではないということを、その企業の人々に示したかった。それは効果があったし、助けになったよ」

──人々の反応はどうでしょう。たとえば、もし日本で同じイベントを開催したら、批判に晒される可能性は決して低くないと思うのですが。

「その違いは大きいだろうね。日本人は、人を信じる傾向が強くて親切だから。でも、だからこそ狙われやすいとも言える。
たとえば日本が津波に襲われたあと、その災難につけこんで、金を盗もうとする悪い連中がいた。人を信じやすい親切な人々が、そんな連中に金や ID を渡してしまうのは恐ろしいことだ。
それでも日本の文化的な背景を考えると、批判を受けるかもしれない。どうすればいいのか……これは難しい問題だな……結局は『教育』だけが、物事を改善する方法なのだけれど……。この点についてはアズジェントともよく議題にあがっているんだ」

──日本では一般的に、ソーシャルエンジニアリングがほとんど知られていません。その学習を日本で説明しても、「詐欺師の育成をしているだけだ、けしからん」と思われるかもしれません。この違いを説明するのは難しいと思うのですが、米国で同じような反応はありましたか？

「たぶん日本と同じ反応ではないよね。でも、ここでも一部には批判がある。なにしろ子供向けの競技もあるから（後述の「SECTF for KIDS」参照）。
鍵のピッキング法なんて、『なぜ、そんな悪いことを子供に教えるのだ』と思う人はいるだろう。だから僕らは伝えているんだ。
人々が批判的思考を持つことは、とても大事だ。そして教育がなければ批判的な考え方をすることはできない。その教育のためには、こういうイベントが最も効果的だと僕は思っている。
たとえば料理の本をどれだけ読んでも、一度も台所で料理した経験がなければ、実際に料理ができるようにはならない。理論を知るだけではなく、実際に経験してエクササイズとして学ぶのが最高の方法だ、と僕は考えている」

──SECTF for Kids（子供のための SECTF）を始めたきっかけは？

「4 年前、DEF CON がキッズイベントを企画したんだ。ハッキングやプログラミング、コンピュータの修復、そういったことを子供に教えるイベントで（編集部註：大人と一緒に参加しなければならない）。
そのとき『子供向けのソーシャルエンジニアリングをやりたいか？』と尋ねられた。だから僕らは宝探しのゲームを企画した。DEF CON 会場を歩き回って、それぞれ違うものを探し出すんだ。子供はそういうことが大好きだろ？　そして 4 年後の今でも、僕らは DEF CON のオフィシャルイベントとして SECTF for Kids を開催している。
僕は、子供に『批判的思考』を教えることが、非常に重要だと感じているんだ。なぜなら米国では子供に対して、あまり批判的思考のスキルを与えようとしないから。
既存の発想に囚われずに考えること。問題と向き合い、解決法を自分で見出すこと。それはコンピュータで計算するのではなく、脳と手を使って学ばなければならない。
このイベントはとてもうまく行っているよ。子供たちは全くコンピュータを使わずに、様々なスキルを楽しみながら学んでいる。子供たちと一緒に来ている親の一部は、ずっと昔から DEF CON に来ていて、家庭を持って、子供を連れてくる人々だ。でも一部の親は、ただ子供を連れてくるためだけに来ている」

──自分の子供が何をしているのか、分かっていない親もいるのでは……

「僕もそう思う。それでも来てるんだ（笑）」

──6 年後、日本では東京オリンピックが開かれます。国や企業は技術面での投資を行い、様々な対策を立てていますが、ソーシャルエンジニアリングの攻撃に関してはあまり考慮していないように思います。そのことについてアドバイスをいただけますか。

「『いますぐ教育を受けろ！』だね。あと 6 年しかないけど、遅くはない。もちろん技術面を改善するのは攻撃を防ぐために重要だ。でも、それは人的な問題を解決できない。
特にオリンピックのような大きなイベントでは、多くの人々がポケットを、クレジットカード番号を、ワイヤレス電話の通話情報を狙われる。そのことを人々は理解しておく必要がある。こういう機会は『データを盗む絶好の機会』として ID 泥棒に狙われやすい。だから、いまから学ぶことは本当に重要だ。何をすればいいのか、誰を信じたらいいのか、どうやってデータを守ればいいのか…… 6 年あるからね。きっと僕たちにはできるよ」

──日本でも、ソーシャルエンジニアリングに関する学習が浸透したらいいなと思うのですが。

「そうだね。きっと素敵だ。でも、ちょっと手間がかかるかもしれない。つまり日本の人々から受け入れられるまでには、それなりのステップが必要になるだろう。それでも最終的には、うまく行くと僕は思うし。アズジェントも僕もそれを目指しているからこそ、密に情報交換を行っているんだ」

──うまく行くと思います。そう信じてます。

「僕も信じてる」

──今日は本当にありがとうございました。

「こちらこそありがとう。とても楽しかったよ」

(江添佳代子／協力：株式会社アズジェント)